США настоятельно призывают руководителей служб информационной безопасности ужесточить конфигурации систем управления конечными точками после взлома на прошлой неделе американского поставщика медицинских товаров Stryker проиранской хакерской группой Handala.
Предупреждение Агентства по кибербезопасности и защите инфраструктуры США (CISA) адресовано в первую очередь организациям, использующим Microsoft Intune — облачный сервис унифицированного управления конечными точками (UEM), который, по сообщениям, удалось скомпрометировать Handala, известной серией разрушительных атак с полным стиранием данных и их утечками. Однако CISA заявляет, что принципы защиты, изложенные в рекомендациях, применимы к любому программному обеспечению для управления конечными точками.
Главный вопрос: устойчивость к фишингу
Совет CISA, безусловно, «своевременен и уместен», — отметил Йоханнес Ульрих, декан по исследованиям в SANS Institute. «На мой взгляд, главный вопрос заключается во внедрении аутентификации, устойчивой к фишингу», для защиты входов в систему.
«Эта проблема выходит за рамки конкретного вопроса управления мобильными устройствами, и ИТ-руководители должны уделить ей первоочередное внимание», — подчеркнул он. «Хотя многофакторная аутентификация решает многие проблемы, не все технологии MFA устойчивы к фишингу. В частности, для облачных решений, к которым обычно имеет доступ каждый, надежная аутентификация, устойчивая к фишингу, является обязательной».
Организации также должны проявлять осторожность при регистрации личных устройств в корпоративных решениях для управления конечными точками, добавил он. Должны регистрироваться только устройства, принадлежащие компании, чтобы избежать вмешательства в работу личных устройств, а зарегистрированные устройства должны использоваться исключительно для рабочих задач компании.
Ужесточение систем управления конечными точками
CISA советует ИТ-руководителям:
- использовать принцип наименьших привилегий при разработке административных ролей для систем управления конечными точками. Для систем Intune существует ролевой контроль доступа (RBAC), ограничивающий действия, которые может выполнять роль, пользователей, к которым применяются действия, и устройства, на которые они распространяются;
- обеспечить многофакторную аутентификацию (MFA), устойчивую к фишингу, и соблюдение гигиены привилегированного доступа. Пользователи Intune и другие могут использовать возможности Microsoft Entra ID, включая условный доступ, MFA, сигналы риска и элементы управления привилегированным доступом для блокировки несанкционированного доступа к Intune;
- настроить политики доступа, требующие многократного одобрения администраторами для доступа к системам управления конечными точками и внесения в них изменений.
CISA также направляет администраторов Intune к следующим документам Microsoft: Лучшие практики по обеспечению безопасности Microsoft Intune; Использование политик доступа для реализации многократного одобрения администраторами, Настройка Microsoft Intune для повышения безопасности; Ролевой контроль доступа (RBAC) в Microsoft Intune и Планирование развертывания Privileged Identity Management.
Майкл Смит, технический директор DigiCert, отметил, что хотя предупреждение CISA относится конкретно к Microsoft Intune, существует множество аналогичных продуктов, работающих с правами администратора на конечных точках. Им требуются повышенные привилегии, поскольку они вносят изменения в конечные точки, что делает их мощными инструментами для ИТ. Однако, добавил он, это также делает их мишенью. Любая компрометация этих продуктов может привести к компрометации управляемых ими конечных точек.
Возможность нанести «необратимый ущерб»
Stryker сообщила, что атака 11 марта вызвала сбои в обработке заказов, производстве и отгрузках. Однако Handala утверждает, что им также удалось удаленно стереть данные с тысяч устройств сотрудников.
В обновлении от 15 марта Stryker заявила, что все подключенные, цифровые и жизненно важные технологии, используемые клиентами, остаются безопасными для использования. «Этот инцидент был ограничен внутренней средой Microsoft Stryker, и в результате не затронул ни один из наших продуктов — ни подключенных, ни других», — говорится в заявлении. Компания добавила, что не было развернуто ни программ-вымогателей, ни вредоносного ПО.
В инциденте со Stryker злоумышленники захватили инструмент, которому компании доверяют ежедневно, и использовали его для остановки операций в глобальном масштабе, прокомментировал Исмаэль Валенсуэла, вице-президент по анализу угроз в Arctic Wolf. «Злоупотребляя Microsoft Intune, они смогли удаленно стереть данные с более чем 200 000 устройств в 79 странах. Урок ясен: ни один логин не должен иметь возможности нанести необратимый ущерб», — сказал он.
«Разрушительные административные операции, такие как стирание данных с устройств, массовое изменение политик или обновления в масштабах всего клиента, должны требовать множественного одобрения», — добавил он. «Ни одна сессия, учетные данные или роль не должны иметь возможности совершать разрушительные действия в масштабе без независимого разрешения. Организации должны немедленно заблокировать инструменты управления конечными точками, строго ограничив административный доступ, обеспечив многостороннее одобрение и постоянно отслеживая привилегированную активность, чтобы доверенные платформы не стали едиными точками отказа».
Управление конечными точками — цель высокой ценности
Роберт Беггс, глава канадской фирмы по реагированию на инциденты Digital Defence, заявил, что системы управления конечными точками всегда были целями высокой ценности, поскольку им доверяют повсеместно, и они рассылают конфигурации, скрипты и удаленные действия по всей ИТ-сети.
«Хотя инцидент со Stryker говорит об эксплойтах приложения Microsoft Intune, аналогичные продукты становились целями в прошлом, включая SolarWinds Orion (2020), Kaseya VSA (2021) и интерфейс управления Microsoft Exchange (2021)», — отметил он. «Все эти атаки демонстрируют, что злоумышленники осознают ценность атаки на средства управления, имеющие ключи от королевства, вместо того чтобы нацеливаться на отдельные системы».
Он сообщил, что эксперты часто называют следующие меры защиты от подобных атак: применение принципа наименьших привилегий и двойного одобрения для основных действий, обеспечение надежного контроля идентификации, использование микросегментации и мониторинг необычных административных действий.
Мониторинг административной активности особенно важен при таких типах атак, добавил Беггс. «Ищите такие действия, как действия администратора после окончания рабочего дня или из необычных мест или IP-адресов», — сказал он. «Проверяйте создание новых административных ролей или повышенных привилегий. И установите базовые показатели нормальной административной деятельности, чтобы вы могли выявлять администраторов, выполняющих задачи, которые они обычно не делают».
Поскольку системы управления конечными точками могут одновременно распространять изменения на тысячи устройств, неожиданное развертывание скрипта может создать новые профили конфигурации или выполнить непредвиденные действия для отключения средств защиты или развертывания вредоносного контента. Признаки компрометации включают отключение MFA, удаление средств защиты, удаление инструментов мониторинга, изменение сетевых политик доступа и изменение настроек ведения журналов.
«Самый важный вопрос: как быстро вы сможете обнаружить эти действия», — сказал он, «и готовы ли вы к восстановлению?»
Два сайта Handala захвачены
В четверг исследователи из Flashpoint подтвердили, что ФБР изъяло два сайта Handala, используемых для пропаганды и публикации украденных данных. На одном из сайтов теперь размещено заявление о том, что домен был изъят по постановлению суда США. Flashpoint полагает, что Handala связана с иранским режимом, а не является независимым актором.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Howard Solomon
